劉千仞，薛 淼，任夢璇，任 杰，王光全（中國聯(lián)通研究院，北京 ）

1 概述

數(shù)據(jù)可以是符號，也可以是文字，還可以是語音或者圖像視頻等，總的來說是信息的表現(xiàn)形式和載體?；ヂ?lián)網(wǎng)帶來的一個優(yōu)勢就是用戶可以便捷地共享數(shù)據(jù)，隨著商業(yè)模式的不斷創(chuàng)新，一些企業(yè)發(fā)起可以通過收集和共享與用戶信息及其行為相關(guān)的數(shù)據(jù)來獲得利潤，具體是可以通過信息訓(xùn)練得出用戶喜好，從而針對性發(fā)布個性化廣告。國家也逐漸意識到數(shù)據(jù)的重要性，2019年11月1日，在中國共產(chǎn)黨第十九屆四中全會新聞發(fā)布會上，中央首次在公開場合提出數(shù)據(jù)可作為生產(chǎn)要素按貢獻參與分配。2019年11月22日，國務(wù)院副總理劉鶴在人民日報發(fā)表署名文章，題為《堅持和完善社會主義基本經(jīng)濟制度》，文章對數(shù)據(jù)作為新的生產(chǎn)要素，進行了詳細解釋。把數(shù)據(jù)納入生產(chǎn)要素，是因為數(shù)據(jù)是推動許多新興產(chǎn)業(yè)發(fā)展的基礎(chǔ)，其實反映了數(shù)字經(jīng)濟是國家經(jīng)濟發(fā)展極為重要的支柱。

隨著企業(yè)的規(guī)模越做越大，其產(chǎn)生的獨有數(shù)據(jù)就越多，所謂的獨有指的是這些數(shù)據(jù)會被單獨存儲在某個區(qū)域，不與外界聯(lián)通，就像孤島一樣無法進行交互和鏈接，缺乏關(guān)聯(lián)性無法兼容。這種數(shù)據(jù)之間無法兼容及協(xié)作的情況便將其稱為數(shù)據(jù)孤島，隨著信息化的不斷能深入，已經(jīng)習(xí)慣了用數(shù)據(jù)來做決策，用數(shù)據(jù)來作為參考，而數(shù)據(jù)的基礎(chǔ)在于共享，如果數(shù)據(jù)無法共享，相互孤立，信息交互便無從談起，其也更可能導(dǎo)致大量的安全問題與信任成本。

當(dāng)下數(shù)據(jù)市場面臨的最大問題是什么？毫無疑問，就是隱私泄露問題。

隨著《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月施行，監(jiān)管部門加強了對個人數(shù)據(jù)信息的保護和對相關(guān)大數(shù)據(jù)機構(gòu)的經(jīng)營約束。而蘋果公司在其推出的最新系統(tǒng)版本中，專門添加了一個“廣告客戶標(biāo)識符”（IDFA），也就是設(shè)備標(biāo)識符，開發(fā)人員在調(diào)用時必須通過提示詢問用戶才能獲取數(shù)據(jù)，這意味著蘋果手機用戶開始慢慢向互聯(lián)網(wǎng)要回個人數(shù)據(jù)主權(quán)，這顯然是好事，但在這種情況下，孤島效應(yīng)逐漸顯現(xiàn)。好看的“皮囊”千篇一律，有趣的“靈魂”萬里挑一。數(shù)據(jù)就是“靈魂”，流動起來的數(shù)據(jù)才能產(chǎn)生價值。但是現(xiàn)如今數(shù)據(jù)隱私保護面臨著種種問題，想讓數(shù)據(jù)能夠充分流動起來仍然困難重重。

在過去的幾年里，分布式賬本和區(qū)塊鏈技術(shù)已經(jīng)發(fā)展成為一種很有應(yīng)用前景的技術(shù)手段，在商品溯源、版權(quán)保護、司法存證、身份認證等多種場景中支持可信和不可篡改的記錄，區(qū)塊鏈系統(tǒng)提供一種“智能合約”的技術(shù)，允許建立對訪問或修改每個數(shù)據(jù)實體的自動驗證。可以部署智能合約來編碼允許的數(shù)據(jù)使用目的、允許的軟件應(yīng)用程序、可以訪問數(shù)據(jù)的人員或企業(yè)、時間限制、交易價格等。因此，區(qū)塊鏈提供了一種新的思路，可用于共享用戶數(shù)據(jù)——用戶模型和用戶貢獻的數(shù)據(jù)或研究數(shù)據(jù)，及在此基礎(chǔ)上的可信計算解決方案。

2 數(shù)據(jù)共享與可信計算研究現(xiàn)狀

萬物互聯(lián)時代，連接數(shù)和數(shù)據(jù)成幾何增長，據(jù)IDC和Seagate聯(lián)合發(fā)布的白皮書，全球連接數(shù)預(yù)計到2025年達到1 000億。全球數(shù)據(jù)存儲量預(yù)計達到175 ZB。數(shù)據(jù)市場規(guī)模巨大，2019年數(shù)據(jù)挖掘、機器學(xué)習(xí)、產(chǎn)業(yè)轉(zhuǎn)型、數(shù)據(jù)資產(chǎn)管理、信息安全等大數(shù)據(jù)技術(shù)及應(yīng)用市場呈爆發(fā)式增長。中國信息通信研究院調(diào)研數(shù)據(jù)顯示，全球大數(shù)據(jù)市場收入規(guī)模預(yù)計從2019年的490億美元，到2027年將翻番超千億美元，而隨著大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等產(chǎn)業(yè)的深入發(fā)展，中國大數(shù)據(jù)產(chǎn)值規(guī)模預(yù)計將從2019年的8 000億增長到2023年的15 000億，年復(fù)合增長率（CAGR）為18.35%，處于快速增長階段，這一切都說明數(shù)據(jù)市場正迎來發(fā)展黃金時期。圖1示出的是全球及中國大數(shù)據(jù)市場規(guī)模預(yù)測。

圖1 全球及中國大數(shù)據(jù)市場規(guī)模及預(yù)測

隨著人工智能、云計算和物聯(lián)網(wǎng)技術(shù)的發(fā)展以及應(yīng)用領(lǐng)域的不斷擴展，人們越來越關(guān)注數(shù)據(jù)的隱私和價值潛力。確權(quán)能力的不足使得海量數(shù)據(jù)處于“無主”狀態(tài)，這些用戶隱私數(shù)據(jù)分布在互聯(lián)網(wǎng)巨頭、金融機構(gòu)，甚至政府機構(gòu)等，互相隔離，形成了數(shù)據(jù)孤島。彼此之間數(shù)據(jù)互通共享的需求很大。

政府在數(shù)據(jù)共享方面有著天然的優(yōu)勢，政府通過公開大量的數(shù)據(jù)集、網(wǎng)站的API以及網(wǎng)頁的源代碼，向大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)設(shè)備等開發(fā)者與數(shù)據(jù)使用者提供大量的應(yīng)用，協(xié)助開發(fā)者更好地使用數(shù)據(jù)，試圖改善當(dāng)前數(shù)據(jù)的應(yīng)用模式，助力數(shù)據(jù)共享產(chǎn)業(yè)的發(fā)展。

各國政府也同時出臺大量的數(shù)據(jù)共享指導(dǎo)方針或法律，以規(guī)范數(shù)據(jù)的使用，為數(shù)據(jù)共享產(chǎn)業(yè)發(fā)展指明了方向，同時也積極推進數(shù)據(jù)共享行業(yè)發(fā)展。如美國、英國、新加坡、加拿大等都建立了國家層面的政府?dāng)?shù)據(jù)開放平臺，以分享工業(yè)、農(nóng)業(yè)、服務(wù)業(yè)、環(huán)境保護等十多個主題的數(shù)據(jù)。我國北京、上海、浙江、武漢、青島、無錫、香港等地區(qū)也紛紛推出了自己的數(shù)據(jù)共享平臺，為數(shù)據(jù)共享產(chǎn)業(yè)的發(fā)展奠定了基礎(chǔ)。

各大企業(yè)也紛紛在數(shù)據(jù)共享行業(yè)進行布局，如阿里的天池數(shù)據(jù)開放平臺、微軟的Azure Data Share、谷歌的kaggle平臺、IBM的Watson大數(shù)據(jù)與分析平臺、亞馬遜的Open Data on AWS、百度的數(shù)據(jù)開放平臺、華為的大數(shù)據(jù)共享交換平臺等。

可以看出，隨著5G時代的到來，數(shù)據(jù)隱私保護的呼聲越來越高。一方面，人們對數(shù)據(jù)作為具有巨大潛力的寶貴資源的理解越來越清晰。另一方面，大量數(shù)據(jù)與移動終端及其行為關(guān)聯(lián)度極高，使得用戶越來越意識到數(shù)據(jù)隱私保護的重要性。

人工智能、智能化IoT設(shè)備等領(lǐng)域的市場需求量大且前景向好。但是目前無法有效地提供足夠多的訓(xùn)練數(shù)據(jù)支撐，使得智能化設(shè)備的開發(fā)周期變長、精度降低。因此產(chǎn)品生成數(shù)據(jù)的效率和質(zhì)量不高，從而導(dǎo)致數(shù)據(jù)共享市場前進緩慢。

數(shù)據(jù)隱私保護和數(shù)據(jù)共享并不沖突，但是對于大多數(shù)人來說數(shù)據(jù)共享的觀念尚未形成，或是不愿、不敢、不想共享。權(quán)責(zé)不明、數(shù)字紅利的不可預(yù)見性以及體系不健全導(dǎo)致開放共享生態(tài)環(huán)境差。同時，由于數(shù)據(jù)市場潛力巨大，各家都想通過自身獲得壟斷性的數(shù)據(jù)獲利，導(dǎo)致資源整合效率降低，限制了數(shù)據(jù)共享市場發(fā)展。

數(shù)據(jù)共享需要解決的問題有，多家如何共建數(shù)據(jù)共享平臺，主導(dǎo)權(quán)界定；數(shù)據(jù)共享過程中如何保證數(shù)據(jù)的權(quán)益歸屬；數(shù)據(jù)共享過程是否需要激勵;如何確保數(shù)據(jù)流通過程中全程透明可追溯;如何保證算法在使用過程中不對數(shù)據(jù)進行非法操作等。

為了解決上述問題，就需要引入下一個概念：可信計算?？尚庞嬎阒傅氖窃诒Ｗo數(shù)據(jù)隱私的前提下對數(shù)據(jù)的安全計算和處理?？尚庞嬎阒饕褂弥T如安全多方計算和同態(tài)加密之類的加密技術(shù)在數(shù)據(jù)計算過程中完全保護數(shù)據(jù)隱私。

可信計算概念最早追溯到1983年美國頒布的《可信計算機系統(tǒng)評價標(biāo)準》，TCSEC第一次正式提出了可信計算機的概念：可信計算機是一種能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計算機系統(tǒng)。現(xiàn)階段可信計算最主要的2個屬性就是可靠性和安全性。因此，可信可簡單表述為可靠加安全。

可信計算目前的研究方向主要有以下內(nèi)容：同態(tài)加密、安全多方計算（MPC）、零知識證明、可信執(zhí)行環(huán)境（TEE）。

同態(tài)加密是一種不需要預(yù)先解密加密數(shù)據(jù)即可執(zhí)行計算的方法。通過使用同態(tài)加密技術(shù)將數(shù)據(jù)存儲在區(qū)塊鏈上，可以實現(xiàn)完美的平衡，而不會導(dǎo)致區(qū)塊鏈屬性發(fā)生任何重大變化。

零知識證明是麻省理工學(xué)院研究人員在20世紀80年代提出的一種加密方法，并且是在可信計算中廣泛使用的加密算法之一。可以充分證明自己是某些權(quán)益的合法所有者，而不會泄漏相關(guān)信息，即給予外界的“知識”為“零”。

安全多方計算是由華裔科學(xué)家姚啟智教授于1982年提出的。簡而言之，安全多方計算旨在解決保護一組不受信任方之間的隱私的協(xié)作計算問題。允許多個數(shù)據(jù)所有者在彼此不信任的情況下執(zhí)行協(xié)作計算，輸出計算結(jié)果，并確保除計算結(jié)果外，任何一方都無法獲得其他任何多余信息。換句話說，安全多方計算技術(shù)可以在不泄露原始數(shù)據(jù)內(nèi)容的情況下獲得數(shù)據(jù)使用價值。

至于可信執(zhí)行環(huán)境是本文研究的重點方向，后文重點介紹。

可信計算組織（TCG）以可信賴平臺模塊（TPM）為核心技術(shù)，在可信計算方面的研究代表了國外可信計算技術(shù)的發(fā)展水平。TCG相關(guān)規(guī)范在不斷完善和演進過程中形成了自有的規(guī)范體系，TCG的核心規(guī)范是TPM2.0，作為TPM1.2的修訂版本發(fā)行，目前ISO/IEC將其標(biāo)識為國際標(biāo)準。

我國從事可信計算技術(shù)的研究起步較早，并提出了并行計算和防御的雙重架構(gòu)。這種雙重系統(tǒng)結(jié)構(gòu)具有對業(yè)務(wù)應(yīng)用程序透明的特性，并被應(yīng)用于大規(guī)模工程系統(tǒng)。這種具有主動抗干擾性的可信計算體系結(jié)構(gòu)是我國可信計算技術(shù)發(fā)展中最重要的創(chuàng)新之一。

我國在可信計算標(biāo)準方面也有一定的沉淀和積累?！犊尚庞嬎泱w系結(jié)構(gòu)》標(biāo)準最初作為團體標(biāo)準發(fā)布，經(jīng)過長期修訂與調(diào)整，已于2020年4月28日正式發(fā)布國家標(biāo)準版本，于2020年11月1日開始實施。

可信計算可以為數(shù)據(jù)安全性提供可信的環(huán)境，并在數(shù)據(jù)計算過程中實現(xiàn)數(shù)據(jù)隱私保護。因此可信計算有望改變目前數(shù)據(jù)市場困境，打破孤島現(xiàn)狀，安全可靠地釋放數(shù)據(jù)價值，并激活數(shù)據(jù)經(jīng)濟市場。在可信計算的推動下，數(shù)據(jù)市場有望成倍增長。

3 從可信計算到可信計算執(zhí)行環(huán)境

早期可信計算的研究主要以TCG組織為主，國內(nèi)開展可信計算研究的思路基本也是跟著TCG的步伐?？尚庞嬎阕詈诵牡木褪荰PM硬件芯片，而隨著可信計算的發(fā)展，可信平臺模塊不一定再是硬件芯片的形式，尤其是在資源條件有限的移動和嵌入式環(huán)境中，可信執(zhí)行環(huán)境的研究比較受到青睞，如基于ARM Trust?Zone、SGX、智能卡等可以實現(xiàn)可信計算環(huán)境。

3.1 可信計算執(zhí)行環(huán)境實現(xiàn)

3.1.1 TPM 安全芯片

TPM安全芯片是指符合可信賴平臺模塊標(biāo)準的安全芯片，它能有效地保護電腦防止非法用戶訪問。安全芯片主要是針對商業(yè)用戶，需要配合軟件進行使用。TPM可以將密鑰存儲在芯片中固化的存儲單元中，可以大大提高其安全性，因此可以用來存儲和管理BIOS開機密碼和硬盤密碼；除此之外，TPM安全芯片可以執(zhí)行多種加密：用戶還可以在芯片中存儲應(yīng)用程序軟件密碼；并且還可以加密硬盤的任何部分并將敏感數(shù)據(jù)存儲在其中，以此實現(xiàn)計算機的備份和恢復(fù)功能。

3.1.2 Intel SGX

Intel SGX全稱Intel Software Guard Extensions，它是對英特爾體系（IA）的一種擴展，以增強軟件安全性。SGX將通過驗證的合法軟件和程序封裝到安全區(qū)（enclaves）中，以保護它們免受惡意軟件的侵害。該安全區(qū)級別非常高，也就是說，一旦將程序放入到容器中，即使是操作系統(tǒng)受到破壞，容器中的代碼和數(shù)據(jù)也不會受到影響，并且一個CPU中可以有多個安全區(qū)域，并行效率很高。

英特爾SGX的最大優(yōu)勢在于它僅信任自己和英特爾CPU，這個信任的級別是硬件的層面，因此基于軟件層面的攻擊甚至操作系統(tǒng)級攻擊都不能威脅到SGX創(chuàng)建的可信環(huán)境。此架構(gòu)很適合基于當(dāng)前多租戶云服務(wù)架構(gòu)的軟件，因為SGX僅信任本身和Intel CPU，即使黑客通過云將病毒植入到PC中以控制底層操作系統(tǒng)，也不會受到來自底層操作系統(tǒng)的攻擊。

3.1.3 ARM TrustZone

SGX是針對Intel處理器獨有的安全計算環(huán)境，而TrustZone則是為ARM處理器獨有。TrustZone不像SGX一樣可以封裝成多個安全區(qū)域，而是將CPU一分為二，一個是正常操作環(huán)境，另一個是受信任的操作環(huán)境。由于2個環(huán)境是隔離的并且并行運行，因此代碼和資源很難被跨環(huán)境調(diào)用。同時，當(dāng)程序要進入受信任的操作環(huán)境時，必須通過檢查的程序，具體的過程是程序需要執(zhí)行安全監(jiān)視中斷指令，以使操作系統(tǒng)檢查其安全性，由底層操作系統(tǒng)來負責(zé)整個系統(tǒng)的安全性。

3.1.4 SGX 與TrustZone 的差異

SGX和TrustZone還是有些不同的。主要表現(xiàn)為以下幾點。

SGX和TrustZone分別對應(yīng)Intel和ARM的處理器。2種處理器特定應(yīng)用場景有區(qū)別，Intel處理器的主要應(yīng)用場景是PC端，如電腦和服務(wù)器，ARM處理器主要應(yīng)用場景是移動終端，如手機和機頂盒。

SGX的安全威脅在于操作系統(tǒng)下的硬件層，而TrustZone的安全威脅可以來自操作系統(tǒng)層，因此SGX的理論安全性高于TrustZone。Intel CPU的適用性更廣，因為支持多個安全區(qū)受信任的環(huán)境。而TrustZone只有2種環(huán)境：正常環(huán)境和安全環(huán)境。

從開發(fā)難度上來看，TrustZone開發(fā)難度相對較小，其本質(zhì)是將硬件上的受信任資源與不受信任資源隔離。而SGX難度較高，盡管Intel提供了SGX SDK，目前有Avalon和graphene等產(chǎn)品來協(xié)助對接，但是將程序放入安全區(qū)域還是需要重構(gòu)代碼，目前需要的工作量仍然很大，并且由此引發(fā)的安全問題也需要考慮。

3.2 可信計算存在的問題

3.2.1 可信計算基礎(chǔ)設(shè)施推進不及預(yù)期

可信計算為推動數(shù)據(jù)價值交換系統(tǒng)建立，涉及終端數(shù)據(jù)標(biāo)準、數(shù)據(jù)交換平臺建設(shè)和相關(guān)政策法規(guī)推進，存在不及預(yù)期的可能。

3.2.2 可信計算硬件的問題

目前存在的可信計算硬件多少都有一些短板，以SGX為例，雖然同其他技術(shù)相比比較快，但效率仍然很難滿足大規(guī)模的商業(yè)應(yīng)用。因為CPU本身的空間較小，目前一代只有8G內(nèi)存，而且因為SGX在硬件層，意味著pages在進入以及離開硬盤的時候都需要進行加密，因此運行速度還比較慢，并且提速的難度較大。

3.2.3 可信計算壟斷的問題

盡管SGX存在不少的問題，但目前仍是可信執(zhí)行環(huán)境中最合適的硬件環(huán)境之一。但SGX是一個高度中心化的技術(shù)，其內(nèi)嵌于Intel芯片，同時也是Intel公司的一項商用產(chǎn)品。這就意味著如果Intel芯片或其服務(wù)器出現(xiàn)問題，或者Intel關(guān)閉此項功能，將會影響到SGX的使用，基于其所做的項目將無法運轉(zhuǎn)。

目前全面強調(diào)國產(chǎn)自主化的大形勢下，國內(nèi)硬件廠商由于工藝短板的限制，距離實現(xiàn)全面自主化還有不少的路要走。

4 區(qū)塊鏈與可信計算結(jié)合應(yīng)用需求

可信計算是向用戶不信任的軟件和硬件中添加一個可信模塊，而區(qū)塊鏈則是為了提升另一方造假撒謊的成本。當(dāng)區(qū)塊鏈與可信計算結(jié)合時，區(qū)塊鏈可以從以下幾個方面起到作用。

a）提供中立環(huán)境。傳統(tǒng)可信計算使用的主機，基本上是中心化的，服務(wù)器的掌控權(quán)在所有者手中，而區(qū)塊鏈采用分布式及去中心化的方式運行，這就提供了非常好的中立環(huán)境。

b）數(shù)據(jù)確權(quán)及留痕。使用方對個人數(shù)據(jù)的每一次操作，可以將摘要等相關(guān)信息同步到鏈上，完成數(shù)據(jù)確權(quán)。用戶每一次的交互都會在鏈上留下痕跡，做到透明可查詢。

c）清結(jié)算功能。利用區(qū)塊鏈智能合約的方式去處理結(jié)算這個流程，整個流程透明，鏈上結(jié)算的方式保證結(jié)算的安全性，確保沒有任何一方抵賴。

d）提升效率。雖然可信計算能做到數(shù)據(jù)和協(xié)作方面的互信，但在實際應(yīng)用中，商業(yè)合作和利益分配信任問題帶來的效率下降非常明顯，借助區(qū)塊鏈技術(shù)，讓支出、收益、分潤透明結(jié)算，賬本公開清晰可查，充分降本增效。

引入?yún)^(qū)塊鏈之后，文件經(jīng)過特殊加密后，只有數(shù)據(jù)擁有方授權(quán)才可進行解密。數(shù)據(jù)本身不需要上鏈，但是數(shù)據(jù)使用的時候需要放入可信環(huán)境中。同時對代碼進行溯源驗證，功能分析，保證軟件安全性，不存在后門漏洞，代碼的分析結(jié)果和后續(xù)產(chǎn)生的操作都要上鏈。

區(qū)塊鏈的種種特性，使得其成為可信計算技術(shù)生態(tài)的重要組成部分。可信計算相關(guān)技術(shù)目前多與分布式計算類項目、數(shù)據(jù)類項目及鏈下解決方案相結(jié)合。目前此類項目的關(guān)注重點多在于主機端應(yīng)用場景，因此，在區(qū)塊鏈領(lǐng)域，SGX相比于TrustZone，有更多的應(yīng)用場景和需求。

隨著區(qū)塊鏈技術(shù)的發(fā)展，目前主要存在2個問題：一個是數(shù)據(jù)開放引起的隱私泄露問題；另一個是無法在鏈上執(zhí)行有效計算的性能問題。

隱私泄露問題不僅包括區(qū)塊鏈上記錄的交易信息的隱私泄露，還包括區(qū)塊鏈上記錄和傳輸?shù)钠渌麛?shù)據(jù)的隱私泄露，這是必須首要解決的問題。而高性能計算和可擴展性則一直是區(qū)塊鏈發(fā)展的瓶頸。在區(qū)塊鏈網(wǎng)絡(luò)中，所有節(jié)點需要共同處理和同步所有計算任務(wù)，以確保計算任務(wù)的準確性和不可篡改。但是這導(dǎo)致了嚴重的資源浪費和效率低下。同時，為了實現(xiàn)分布式處理，整個區(qū)塊鏈網(wǎng)絡(luò)中對構(gòu)建節(jié)點的要求不能太高，不能出現(xiàn)中心節(jié)點，這進一步影響了各個節(jié)點處理任務(wù)的能力。這時候，可信計算的隱私保護特性和分布式處理等優(yōu)點就可以很好地幫助解決這些問題。

5 基于區(qū)塊鏈的數(shù)據(jù)共享與可信計算應(yīng)用

圖2示出的是基于區(qū)塊鏈的可信計算與數(shù)據(jù)共享方案。

本文提出一種基于區(qū)塊鏈的可信計算與數(shù)據(jù)共享方案，該方案中存在四方，分別是數(shù)據(jù)需求方、數(shù)據(jù)提供方、數(shù)據(jù)訓(xùn)練方和數(shù)據(jù)倉庫。數(shù)據(jù)提供方和數(shù)據(jù)倉庫都在區(qū)塊鏈平臺上注冊節(jié)點，認證通過后數(shù)據(jù)提供方將數(shù)據(jù)加密放入數(shù)據(jù)倉庫中。數(shù)據(jù)需求方提出某種需求，然后由數(shù)據(jù)訓(xùn)練方在數(shù)據(jù)列表上找一下符合要求的數(shù)據(jù)，找到數(shù)據(jù)后向?qū)?yīng)的數(shù)據(jù)提供方提出申請。數(shù)據(jù)提供方授權(quán)之后，相應(yīng)數(shù)據(jù)經(jīng)加密后和密鑰放入可信執(zhí)行環(huán)境，數(shù)據(jù)訓(xùn)練方也將算法進行合規(guī)性驗證，通過驗證之后放入可信執(zhí)行環(huán)境中。之后在可信執(zhí)行環(huán)境中對數(shù)據(jù)進行解密，然后算法對數(shù)據(jù)進行訓(xùn)練，運算出來結(jié)果之后將摘要信息上鏈，訓(xùn)練方獲取運算結(jié)果，并將結(jié)果反饋給需求方。同時數(shù)據(jù)倉庫中的數(shù)據(jù)和算法銷毀，流程結(jié)束。

此方案中數(shù)據(jù)不離本地可供外部算法進行處理，數(shù)據(jù)處理全流程信息透明并上鏈。鏈上信息應(yīng)包括如下部分：數(shù)據(jù)上鏈信息包括不限于數(shù)據(jù)名稱、類型、格式、大小、摘要、所有方、數(shù)據(jù)的被調(diào)用記錄、數(shù)據(jù)更新記錄等；算法上鏈信息包括不限于算法名稱、類型、格式、大小、所有方、算法更新紀律、合規(guī)性檢查結(jié)果等。

此方案實現(xiàn)了數(shù)據(jù)的全生命周期可視化管理，數(shù)據(jù)摘要信息上鏈，原始數(shù)據(jù)存儲在本地。數(shù)據(jù)處理時在本地經(jīng)過加密后交由通過合規(guī)驗證的算法進行運算，算法在處理數(shù)據(jù)前獲得數(shù)據(jù)所有方授權(quán)后方可實現(xiàn)數(shù)據(jù)解密，進行后續(xù)處理。

圖2 基于區(qū)塊鏈的可信計算與數(shù)據(jù)共享方案

同時利用硬件框架實現(xiàn)自有的數(shù)據(jù)共享及密鑰管理模塊，供各節(jié)點加解密及身份認證使用，該密鑰體系應(yīng)具備在特定環(huán)境下可實現(xiàn)解密的功能，脫離特定環(huán)境后密鑰失效，特定環(huán)境包括不限于（具備SGX功能的硬件）可信硬件。

此方案已經(jīng)過測試，在復(fù)雜環(huán)境下，具備在保護數(shù)據(jù)與算法安全前提下提供可信計算的能力。

6 總結(jié)與展望

隨著5G和物聯(lián)網(wǎng)的發(fā)展，邊緣終端產(chǎn)生了越來越多的數(shù)據(jù)，而伴隨著基于區(qū)塊鏈的數(shù)據(jù)共享和可信計算技術(shù)的成熟，這些海量數(shù)據(jù)將在終端處得到安全存儲和隱私保護。各類聯(lián)合機器學(xué)習(xí)算法將在終端用戶的授權(quán)下以分布式方式完成機器學(xué)習(xí)，并輸出學(xué)習(xí)模型而不是隱私數(shù)據(jù)，并且這些模型將在網(wǎng)絡(luò)中完成協(xié)作建模。傳統(tǒng)的中心云架構(gòu)的系統(tǒng)現(xiàn)有的托管數(shù)據(jù)也將在安全且受到完全保護的可信環(huán)境中進行交換和協(xié)作計算。就像運營商網(wǎng)絡(luò)之于信息流轉(zhuǎn)的作用，一個從終端到云的數(shù)據(jù)價值交換系統(tǒng)將應(yīng)運而生，可信計算系統(tǒng)就可以作為數(shù)據(jù)價值交換的“運營商”。在這樣的系統(tǒng)中，節(jié)點之間的數(shù)據(jù)協(xié)作計算和交換需要依賴于可信計算來實現(xiàn)隱私保護和數(shù)據(jù)安全?？梢灶A(yù)見，依靠這樣的平臺系統(tǒng)，類似于互聯(lián)網(wǎng)生態(tài)的各種數(shù)據(jù)應(yīng)用市場將如雨后春筍般不斷涌現(xiàn)，從而創(chuàng)造數(shù)據(jù)紅利時代。